Systematiska åtgärder ger systematiskt säkerhetshöjande effekter

Rysslandskopplade cyberattacker i Europa och USA

Tele2s säkerhetsblogg har återkommande beskrivit den rysslandskopplade och statsstödda cyberkriminella grupperingen Killnet. Bland annat hur denna svängt från att enbart utföra ransomware-attacker till en blandning av olika typer av IT-angrepp. Sedan mars 2022 rapporteras DDoS-attacker vara den primära angreppsmetoden.

Dessa DDoS-attacker har riktats mot en stor mängd verksamheter i Europa och USA. Under året har exempelvis energibolag drabbats av både DDoS och ransomware. Bankers webbsidor och internettjänster har gjorts otillgängliga, medan nätverksbaserad kommunikation för tåg, flygplatser och luftfart har utsatts för långvariga och omfattande DDoS-attacker.

Konkret har det inneburit att stora bränsledepåer tvingats stänga, finansiella transaktioner har förhindrats, samt att tåg- och flygrelaterad verksamhet behövt avbrytas tillfälligt.

DDoS-attacker mot amerikanska flygplatser

Nyligen rapporterade amerikanska FBI om en ny våg av omfattande DDoS-attacker mot just flygplatser i USA. Den stora skillnaden nu var att attackerna inte hade lyckats påverka verksamheten negativt.

Utan insyn är det svårt att ha full förståelse. Det kan dock konstateras att de nu utsatta måste ha vidtagit kraftfulla åtgärder för att till följd av dessa angrepp inte ha utsatts för någon nämnvärd skada. Jag uppfattar det som att man vidtagit åtgärder som dels minskat risken för utsatthet, dels stärkt förmågan att hantera de DDoS-attacker man alltid på något sätt kommer att utsättas för.

Ingen av oss utomstående vet de exakta åtgärder som vidtagits, jag är dock övertygad om att det går att koppla förbättringen till fyra typer av effektiva säkerhetshöjande åtgärder (åtgärder som Tele2s säkerhetsexperter återkommande stödjer våra kunder med):

• Genomlysning, följd av riskreducerande åtgärder av vad som exponeras mot internet (AS-nummer, IP-adresser, servrar etc.).

• Att samtliga internetaccesser levereras med kraftfullt och systematiskt hotbildsanpassat DDoS-skydd.

• System- och nätverksanpassade begränsningar, d.v.s. att olika it-tillgångar segmenteras så att yttre störningar inte påverkar interna system.

• Rätt nätverksteknologi till rätt nätverkstrafik. Exempelvis att externa kommunikationsbärare inte exponeras direkt mot internet, utan skyddas av ett SD-WAN (som dessutom kommer med flera andra viktiga säkerhetsfunktioner).

Stor mängd patientdata stulen från försäkringsbolag

Periodens andra händelse är tyvärr ingen positiv nyhet. Australiens största företag inom privata sjukförsäkringar, Medibank, har fått ofantliga mängder patientdata stulna i ett it-intrång. Intrånget blev allmänt känt när delar av materialet började publiceras på Darknet.

Inte heller här har vi alla detaljer, men det finns misstankar om att angriparna använt sig av "ransomware-teknik". Dock inte specifikt "funktionen" att kryptera servrar och filer.

Tele2s säkerhetsblogg har beskrivit de nya versionerna av ransomwareprogram som kommit de senaste åren. Exempelvis att ransomwareangrepp numera ofta innebär en export av information till obehörig. Detta för att kunna utföra dubbel, eller tredubbel (o.s.v.) utpressning "för att informationen inte ska säljas på exempelvis Darknet".

Den traditionella bilden att ett klick på en länk eller öppnande av bilaga med ransomwareprogramvara automatiskt leder till att datorn och alla nåbara it-tillgångar automatiskt krypteras stämmer därmed inte längre.

Du hittar Tele2s djupdykning om det komplexa ransomwarehotet här.

Utan tvekan har angriparen tagit sig in i Medibanks absoluta kärna av skyddsvärd information, varifrån man kopierat och exporterat kund- och patientdata om företagets 9,7 miljoner kunder. Den påstått ryska cyberkriminella grupperingen som genomfört intrånget kräver en lösensumma om 1 USD/kund för att "lämna tillbaka uppgifterna" (ett löfte som är osannolikt). Alltså sammanlagt 9,7 miljoner USD eller dryga 100 miljoner svenska kronor.

Cyberkriminella släpper material på Darknet

Medibank har tydliggjort att man inte kommer betala någon lösensumma. Som en konsekvens av detta fortsätter den cyberkriminella grupperingen att återkommande publicera olika delar av materialet på Darknet. Företrädelsevis hälsorapporter som beskriver utpekade kunders vård för olika typer av missbruk, medicinska ingrepp de genomgått, eller psykiska/fysiska sjukdomar som kunderna diagnosticerats med.

Om Medibankhändelsen följer tidigare, liknande cyberintrång så kommer de cyberkriminella försöka sälja delar av materialet till andra cyberkriminella, eller kräva "lösensumma" av enskilda kunder som finns bland de utsatta (med hotet om att hälsodata annars kommer publiceras på Darknet).

Händelsen har ett stort fokus i Australien och utreds av såväl nationell som internationella brottsbekämpande mydigheter.

Fortsatt kritisk granskning av SMS med länkar

Avslutningsvis vill vi påminna om att november och december historiskt är perioder med ökande mängder bluff-SMS. Detta då e-handeln (med tillhörande reklam-, aviserings-, och kundservice-SMS) ökar kraftigt.

Tele2 har mycket avancerade analysverktyg som stoppar en absolut majoritet av de misstänksamma SMS:en. Som exempel: bara i december 2021 stoppade Tele2 hela 14 miljoner bluff-SMS (!) från att nå fram. Utmaningen med ett 100-procentigt skydd ligger i att de cyberkriminella hela tiden ändrar telefonnummer, avsändningsteknik, textinnehåll och länkar i meddelandet. Tele2 jobbar intensivt med detta, men en medvetenhet hos användaren är ett bra kompletterande skydd.

Vår uppmaning är helt enkelt att alla bör vara medvetna om att SMS som kan uppfattas som legitima kan användas för att stjäla kortbetalningsuppgifter eller sprida mobilbaserade virus.

Mer information om bluff-SMS och hur alla användare (frivilligt) kan rapportera bluff-SMS finns här.